Posted:
Face aux retours positifs sur la fonctionnalité Analyse de la recherche de notre Search Console, nous avons décidé de mettre ces données à la disposition des développeurs par le biais d'une API. Nous espérons que l'API Analyse de la recherche vous aidera à intégrer les données des performances de recherche à vos applications et outils.

Si vous avez déjà utilisé l'une de nos API ou l'une des API disponibles dans la Search Console, vous n'aurez aucun mal à vous lancer ! La page explicative, actuellement disponible en anglais uniquement, présente des exemples de programmation Python qui peuvent vous servir de recette pour concocter vos propres programmes. Par exemple, vous pouvez utiliser l'API pour les choses suivantes :


[La documentation ci-dessus est actuellement disponible en anglais uniquement. Pensez-vous qu'une traduction dans votre langue maternelle serait utile ? Répondez-nous ici.]

Qu'allez-vous concocter avec la nouvelle API ? Nous sommes curieux de savoir comment les nouveaux outils et les nouvelles applications qui utilisent cette API pourront étancher votre soif d'informations relatives aux performances de votre site dans la recherche Google. Si vous avez intégré cette API à un outil, n'hésitez pas à vous exprimer dans la rubrique "Commentaires". Pour toute question sur l'API, nous vous invitons à consulter notre forum d'aide pour les webmasters.

Publié par John Mueller, Webmaster Trends Analyst, Google Suisse

Posted:


Aujourd'hui, dans le cadre de notre campagne #nohacked, nous allons vous expliquer comment remédier à l'injection d'URL auto-générées sur votre site. Nous avions déjà abordé ce type de piratage la semaine dernière. Même si votre site n'est pas infecté par ce dernier, bon nombre de ces étapes peuvent être utiles pour remédier à d'autres types de piratage. Poursuivez les discussions sur Twitter et Google+ en utilisant le hashtag #nohacked. (Partie 1Partie 2Partie 3Partie 4)



Mettez temporairement votre site hors ligne

Mettre votre site hors ligne empêche vos visiteurs d'accéder aux pages piratées et vous laisse le temps de résoudre convenablement le problème de piratage de votre site. Si vous laissez votre site en ligne, vous vous exposez à une nouvelle infection lors du nettoyage de ce dernier.


Traitez votre site

Pour effectuer les prochaines étapes, vous devez être en mesure d'apporter des modifications techniques à votre site. Si vous ne vous sentez pas capable de le faire, nous vous conseillons de consulter ou d'engager une personne compétente en la matière. Cependant, il est toujours utile de lire ces étapes.

Avant de commencer à résoudre les problèmes de votre site, nous vous conseillons de le sauvegarderCette version sauvegardée contiendra encore le contenu piraté. Vous ne devez l'utiliser que si vous supprimez accidentellement un fichier critique. Si vous avez des doutes sur la façon de sauvegarder votre site, contactez votre fournisseur d'hébergement ou consultez la documentation de votre système de gestion de contenu (CMS). Au fil des étapes, à chaque fois que vous supprimez un fichier, assurez-vous de conserver une copie de ce dernier.

Vérifiez votre fichier .htaccess

Afin de manipuler votre site, le type de piratage dont nous parlons aujourd'hui crée ou modifie le contenu de votre fichier .htaccess. Si vous ne savez pas où se trouve votre fichier .htaccess, consultez la documentation de votre serveur ou de votre CMS.
Vérifiez le contenu de votre fichier .htaccess et recherchez un éventuel contenu suspect. Si vous ne savez pas interpréter le contenu d'un fichier .htaccess, consultez la documentation d'Apache.org, renseignez-vous sur un forum d'aide ou consultez un expert. Voici un exemple de fichier .htaccess modifié par ce piratage :

<IfModule mod_rewrite.c>
  RewriteEngine On
  #Vos visiteurs venant de Google.com seront redirigés
  RewriteCond %{HTTP_REFERER} google\.com
  #Vos visiteurs sont redirigés vers un fichier PHP malveillant appelé happypuppy.php
  RewriteRule (.*pf.*) /happypuppy.php?q=$1 [L]
</IfModule>

Supprimez toutes les parties malveillantes que vous trouvez. Bien souvent, si le contenu malveillant se trouve uniquement dans le fichier .htaccess, vous pouvez supprimer l'intégralité du fichier .htaccess. Vous pouvez également remarquer que le fichier .htaccess présente un fichier PHP malveillant. Nous l'appelons happypuppy.php, mais il s'agit souvent d'une combinaison aléatoire de deux mots. Cela sera important pour la prochaine étape, où nous expliquerons comment identifier les fichiers malveillants.

Identifiez les autres fichiers malveillants

Les fichiers JavaScript et PHP sont les types de fichiers les plus fréquemment modifiés ou injectés par le piratage par injection de pages auto-générées. Les pirates informatiques ont généralement deux techniques. La première consiste à insérer de nouveaux fichiers PHP ou JavaScript sur votre serveur. Le nom du fichier inséré ressemble parfois beaucoup à celui d'un fichier légitime présent sur votre site. Ainsi, le pirate informatique peut appeler un fichier wp-cache.php, alors que le fichier légitime est wp_cache.php. La seconde technique consiste à modifier des fichiers légitimes de votre serveur et à y insérer un contenu malveillant. Par exemple, si votre site possède un modèle ou un plug-in JavaScript, les pirates informatiques peuvent ajouter un code JavaScript malveillant dans le fichier.

Ainsi, sur www.example.com, un fichier malveillant du nom de happypuppy.php, identifié plus tôt dans le fichier .htaccess, a été injecté dans un dossier du site. Cependant, les pirates informatiques ont également corrompu un fichier JavaScript légitime appelé json2.js en y ajoutant du code malveillant. Voici un exemple de fichier json2.js corrompu (Le code malveillant, ajouté tout en bas du fichier json2.js, a été entouré en rouge) :



Pour identifier efficacement les fichiers malveillants, vous devez comprendre le fonctionnement des fichiers JavaScript et PHP de votre site. N'hésitez pas à consulter la documentation de votre CMS pour ce faire. Une fois que vous connaissez la fonction de ces fichiers, vous pouvez identifier plus facilement les fichiers malveillants qui n'ont rien à faire sur votre site.

Recherchez également les fichiers récemment modifiés sur votre site. Les fichiers template qui ont été modifiés récemment doivent faire l'objet d'un examen approfondi. Vous trouverez en annexe des outils qui peuvent vous aider à interpréter des fichiers PHP dissimulés.

Supprimez le contenu malveillant

Comme mentionné précédemment, nous vous invitons à sauvegarder le contenu de votre site comme il se doit avant de supprimer ou de modifier des fichiers. Si vous faites régulièrement des sauvegardes de votre site, nettoyer votre site peut être aussi simple que de restaurer une version non infectée sauvegardée.

Toutefois, si vous ne sauvegardez pas régulièrement votre site, d'autres options s'offrent à vous. Tout d'abord, supprimez tous les fichiers malveillants insérés sur votre site. Ainsi, sur www.example.com, supprimez le fichier happypuppy.php. Pour les fichiers PHP ou JavaScript corrompus, comme json2.js, vous devrez importer une version non infectée de ces fichiers sur votre site. Si vous utilisez un CMS, pensez à mettre une nouvelle version des fichiers plug-in et du CMS principal sur votre site.


Identifiez et corrigez la faille

Une fois que vous avez supprimé le fichier malveillant, identifiez et corrigez la faille qui a permis l'infection de votre site, sans quoi votre site risque d'être piraté à nouveau. Cette faille peut se situer à n'importe quel niveau, qu'il s'agisse d'un mot de passe volé ou d'un logiciel Web obsolète. Consultez notre assistance aux webmasters pour les sites piratés pour savoir comment identifier et corriger la faille. Si vous ne parvenez pas à comprendre comment votre site a été infecté, nous vous invitons à modifier les mots de passe de tous vos identifiants de connexion, à mettre à jour tous vos logiciels Web et à envisager sérieusement de demander de l'aide pour vous assurer que tout est rentré dans l'ordre.

Étapes suivantes

Une fois que vous avez terminé le nettoyage de votre site, utilisez l'outil Explorer comme Google de la Search console pour vérifier que les pages piratées ne sont plus vues par Google. N'oubliez pas de vérifier que votre page d'accueil ne présente plus de contenu piraté. Si le contenu piraté a disparu, félicitations, votre site n'est plus infecté ! Si l'outil Explorer comme Google détecte encore la présence de contenu piraté sur ces pages, vous avez encore du travail. Cherchez de nouveau les fichiers PHP ou JavaScript malveillants que vous auriez pu manquer.

Remettez votre site en ligne dès que vous êtes sûr qu'il n'est plus infecté et que vous avez corrigé la faille. Si votre site a fait l'objet d'une action manuelle, remplissez une demande de réexamen dans la Search Console. Réfléchissez également aux façons de protéger votre site contre de futures attaques. Pour savoir comment procéder, consultez l'assistance aux webmasters pour les sites piratés.



Nous espérons que cet article vous a permis de mieux comprendre comment remédier à l'injection d'URL vides de sens sur votre site. Suivez nos campagnes sur les réseaux sociaux, et partagez vos astuces et vos idées pour utiliser le Web en toute sécurité avec le hashtag #nohacked.
Si vous avez d'autres questions, posez-les sur nos forums d'aide pour les webmasters. Notre communauté de webmasters vous aidera à y répondre.


Annexe

Voici des outils qui peuvent être utiles. Google n'a aucun lien avec ces outils.

PHP DecoderUnPHP : les pirates informatiques déforment souvent les fichiers PHP pour qu'ils soient plus difficiles à lire. Utilisez ces outils pour nettoyer les fichiers PHP afin de mieux comprendre la finalité du fichier en question.

Posted:
Aujourd'hui, dans le cadre de notre campagne #nohacked, nous allons vous expliquer comment identifier et diagnostiquer un type de hacking (piratage) que nous observons de plus en plus. Même si votre site n'est pas infecté par ce type de piratage, bon nombre des conseils donnés ici peuvent être utiles pour d'autres types de piratage. La semaine prochaine, nous publierons un article sur la façon de remédier à ce piratage.

Poursuivez les discussions sur Twitter et Google+ en utilisant le hashtag #nohacked. (Partie 1, Partie 2, Partie 3)



Identification des symptômes

1. Pages au contenu auto-généré

Le type de piratage dont nous parlons aujourd'hui se caractérise par la présence de pages contenant du spam qui semblent avoir été injectées sur le site par un hacker. Ces pages contiennent des images, des liens, et du texte vides de sens, mais sont souvent riches en mots clés, dans le but de manipuler les moteurs de recherche. Par exemple, le piratage crée des pages telles que www.example.com/pf/télécharger-2015-gratuit-crack-complet.html qui contiennent un contenu auto-généré qui peut ressembler à cela :

2. Techniques de dissimulation (cloaking)

L'injection de pages utilise souvent des techniques de dissimulation (cloaking) pour éviter que les webmasters ne le détectent. Le cloaking consiste à présenter des URL ou des contenus différents aux webmasters, aux visiteurs, et aux moteurs de recherche. Par exemple, le webmaster du site peut voir une page vide ou une page HTTP 404, qui lui donnerait à penser que le piratage n'est pas ou plus présent. Cependant, les internautes qui visitent la page depuis les résultats de recherche continuent à être redirigés vers des pages contenant du spam, et les moteurs de recherche qui explorent le site voient toujours du contenu auto-généré.


Détection d'un piratage

Une surveillance appropriée du piratage sur votre site est donc essentielle: elle vous permet de remédier aux problèmes plus rapidement et de minimiser les dommages potentiels. L'injection de pages piratées peut être détectée de diverses manières:

Recherche d'un pic dans le trafic du site Web

Puisque ce piratage crée un grand nombre d'URL riches en mots clés qui sont explorées par les moteurs de recherche, vérifiez qu'il n'y a pas eu un pic récent et inattendu du trafic. Si vous en remarquez un, utilisez l'outil Analyse de la recherche de la Search Console pour déterminer si des pages piratées sont ou non à l'origine de ce trafic inhabituel sur votre site Web.

Suivi de l'apparence de votre site dans les résultats de recherche

Nous conseillons à tous les webmasters de vérifier régulièrement l'apparence de leur site dans les résultats de recherche. En plus de détecter d'autres types de problèmes, cela permet également de détecter les symptômes d'un piratage. Vous pouvez vérifier votre site sur Google en utilisant l'opérateur site: sur votre domaine. Recherchez ainsi site:example.com. Si vous voyez un lien avec du contenu auto-généré associé à votre site ou un libellé qui indique "Ce site peut être piraté.", il est possible que votre site soit infecté.

Inscription à Google Alertes

Nous vous recommandons de vous inscrire à la Search Console. Dans la Search Console, vous pouvez vérifier si nous avons détecté des pages piratées sur votre site en consultant l'outil d'affichage des actions manuelles ou le rapport Problèmes de sécurité. La Search Console vous envoie également un message si nous découvrons des pages piratées sur votre site.

De plus, nous vous recommandons de mettre en place des alertes Google pour votre site. Google Alertes vous envoie un e-mail si nous découvrons de nouveaux résultats pour une requête de recherche. Par exemple, vous pouvez configurer une alerte pour votre site avec des termes de spam fréquents, tels que [site:example.com logiciel pas cher]. Si vous recevez un e-mail qui indique que nous affichons une nouvelle requête pour ce terme, vous devez immédiatement vérifier les pages de votre site qui ont déclenché cette alerte.


Diagnostic de votre site

Les outils utiles

Dans la Search Console, vous avez accès à l'outil Explorer comme Google. Cet outil vous permet de voir une page comme GoogleBot la voit. Cela vous aidera à identifier les pages piratées à l'aide de techniques de dissimulation (cloaking). D'autres outils de fournisseurs tiers, payants ou gratuits, sont répertoriés dans l'annexe de cet article.

Recherche de pages piratées

Si vous avez un doute sur la présence de contenu piraté sur votre site, l'outil de dépannage pour les sites piratés peut vous guider pour réaliser quelques vérifications fondamentales. Pour le type de piratage par injection de pages, vous devrez effectuer une recherche site: sur votre site. Recherchez les pages suspectes et les URL avec des mots clés étranges dans les résultats de recherche. Si votre site contient un grand nombre de pages, vous devrez peut-être tenter une requête plus ciblée. Identifiez des termes de spam fréquents et ajoutez-les à votre requête de recherche site: en écrivant par exemple [site:example.com logiciel pas cher]. Essayez d'utiliser différents termes de spam pour voir si des résultats s'affichent.

Recherche de techniques de dissimulation (cloaking) sur des pages piratées

Puisque ce type de piratage utilise des techniques de dissimulation (cloaking) pour empêcher une détection précise, il est très important d'utiliser l'outil Explorer comme Google de la Search Console pour vérifier les pages contenant du spam que vous avez trouvées lors de l'étape précédente. N'oubliez pas que les pages dissimulées peuvent vous présenter une page HTTP 404 qui vous amène à penser que le problème est résolu même si la page reste en ligne. Vous devez également utiliser l'outil Explorer comme Google sur votre page d'accueil. Ce type de piratage ajoute souvent du texte ou des liens sur la page d'accueil.






Nous espérons que cet article vous a permis de mieux comprendre comment identifier et diagnostiquer les piratages qui injectent des URL au contenu auto-généré sur votre site. La semaine prochaine, nous vous expliquerons comment supprimer ce piratage de votre site.  Suivez nos campagnes sur les réseaux sociaux, et partagez vos astuces et vos idées pour utiliser le Web en toute sécurité avec le hashtag #nohacked.


Si vous avez d'autres questions, posez-les sur nos forums d'aide pour les webmasters. Une communauté de webmasters vous aidera à y répondre.

Publié par : Eric Kuan, Webmaster Relations Specialist et Yuan Niu, Spam Analyst



Annexe

Voici des outils qui analysent votre site pour détecter les contenus problématiques. Hormis VirusTotal, Google n'a aucun lien avec ces outils.


VirusTotal, Aw-snap.info, Sucuri Site Check, Wepawet : ces outils peuvent analyser votre site afin de détecter des contenus problématiques. N'oubliez pas que ces scans n'identifieront pas forcément tous les types de contenus problématiques.

Posted:
Aujourd'hui, dans le cadre de notre campagne #nohacked, nous allons aborder l'authentification à deux niveaux. Poursuivez les discussions sur Twitter et Google+ en utilisant le hashtag #nohacked (partie 1, partie 2).
Définir un mot de passe relativement fort ou répondre à une question de sécurité ne suffit plus de nos jours à protéger vos comptes en ligne de manière raisonnable. D'après une étude de StopBadware, le vol d'identifiants est devenu une pratique courante utilisée par les pirates informatiques pour compromettre les sites Web. En outre, même les sites fiables peuvent être victimes de piratage et exposer vos données personnelles, telles que vos mots de passe, aux pirates.

Heureusement, l'authentification à deux niveaux peut vous aider à améliorer la sécurité de vos comptes. Cette technique s'appuie sur une source supplémentaire de vérification (en plus de votre mot de passe) pour accéder à votre compte. Si un code envoyé sur votre téléphone vous a déjà été demandé au moment de vous connecter à un site de réseau social ou depuis un lecteur de carte à puce pour accéder à un compte bancaire, alors vous avez déjà utilisé l'authentification à deux niveaux. Cette technique rend plus difficile l'accès à votre compte, même si la personne qui tente d'y accéder détient votre mot de passe.

Si vous êtes propriétaire de site Web, nous vous recommandons d'activer l'authentification à deux niveaux sur vos comptes lorsque cela est possible.
Un compte compromis peut vous faire perdre des données personnelles importantes et nuire à la réputation de votre site. Avec l'authentification à deux niveaux, vous savez que vos comptes et vos données sont plus en sécurité.

Nous offrons désormais la validation en 2 étapes à tous les comptes, y compris ceux qui appartiennent à des domaines Google Apps. Vous pouvez utiliser votre numéro de téléphone, un jeton matériel, tel qu'une clé de sécurité, ou l'application Google Authenticator pour valider votre compte. Ces options vous assurent une certaine flexibilité lorsque vous voyagez ou que n'avez pas accès au réseau mobile.

Si votre hébergeur, votre système de gestion de contenu  (CMS) ou tout autre type de plate-forme que vous utilisez pour la gestion de votre site n'offrent pas l'authentification à deux niveaux, contactez leur service client pour demander la mise en œuvre de cette technique. L'authentification à deux niveaux peut en effet être intégrée à leur propre plate-forme au moyen de notre code Open Source. Si votre plate-forme ou votre hébergeur n'offre pas une protection renforcée contre les accès non autorisés, nous vous suggérons de trouver une autre solution d'hébergement pour votre site. Vous trouverez une liste de sites Web qui proposent l'authentification à deux niveaux, ainsi que les types d'authentification disponibles, sur la page https://twofactorauth.org/.

Si vous avez d'autres questions, posez-les sur notre forums d'aide pour les webmasters. Une communauté de webmasters vous aidera à y répondre.

Eric Kuan, Webmaster Relations Specialist et Yuan Niu, Webspam Analyst

Posted:
Aujourd'hui, dans le cadre de notre campagne #nohacked, nous allons aborder l'ingénierie sociale. Poursuivez les discussions sur Twitter et Google+ en utilisant le hashtag #nohacked. (Partie 1)

Hameçonnage (phishing)

Vous connaissez peut-être l'hameçonnage (phishing), qui est l'une des formes les plus courantes d'ingénierie sociale. Les sites et les e-mails d'hameçonnage imitent des sites légitimes et vous incitent à saisir des informations confidentielles comme votre nom d'utilisateur et votre mot de passe. D'après une récente étude menée par nos services, certains sites d'hameçonnage parviennent à faire 45 % de victimes ! Une fois que le propriétaire d'un site d'hameçonnage est en possession de vos informations, il les vend ou les utilise pour manipuler vos comptes.

Autres formes d'ingénierie sociale

En tant que propriétaire de site, l'hameçonnage n'est pas la seule forme d'ingénierie sociale dont vous devez vous méfier. Une autre forme d'ingénierie sociale peut venir des logiciels et des outils utilisés sur votre site. Si vous téléchargez ou utilisez un système de gestion de contenu (CMS), des plug-ins ou des modules complémentaires, assurez-vous qu'ils proviennent de sources fiables, par exemple du site même du développeur. Les logiciels téléchargés sur des sites non fiables risquent de contenir des failles qui permettent aux pirates informatiques d'accéder à votre site.

Par exemple, Wanda, en sa qualité de webmaster, a récemment été embauchée par Brandon’s Pet Palace pour créer un site. Après avoir fait quelques ébauches, Wanda commence à compiler le logiciel dont elle a besoin pour créer le site. Cependant, elle découvre que Photo Frame Beautifier, l'un de ses plug-ins préférés, a été retiré du site officiel de plug-ins du CMS et que le développeur a décidé de ne plus accepter le plug-in. Elle fait une recherche rapide et trouve un site qui propose des archives de vieux plug-ins. Elle télécharge le plug-in et l'utilise pour terminer le site. Deux mois plus tard, Wanda reçoit une notification de la Search Console qui l'informe que le site de son client a été piraté. Elle parvient rapidement à résoudre le problème et à trouver la source de l'infection. Le plug-in Photo Frame Beautifier avait en effet été modifié par un tiers pour permettre à des personnes malintentionnées d'accéder au site. Elle doit alors supprimer le plug-in, régler le problème de contenu piraté, protéger son site contre d'éventuelles attaques futures et remplir une demande de réexamen dans la Search Console. Comme vous pouvez le constater, une brève erreur d'inattention de Wanda a entraîné le piratage du site de son client.

Protégez-vous contre les attaques d'ingénierie sociale

L'ingénierie sociale est efficace, car vous ne constatez pas toujours que vos actions sont dangereuses. Cependant, quelques précautions basiques vous permettront de vous protéger contre l'ingénierie sociale.
  • Restez vigilant : chaque fois que vous saisissez des informations confidentielles en ligne ou installez un logiciel de site Web, faites preuve de méfiance. Vérifiez les URL pour vous assurer que vous ne saisissez pas des informations confidentielles sur des sites malveillants. Lorsque vous installez un logiciel de site Web, assurez-vous que le logiciel provient de sources connues et réputées, comme le site du développeur.
  • Utilisez l'authentification à deux niveaux : l'authentification à deux niveaux, comme notre validation en deux étapes, ajoute une autre couche de sécurité qui permet de protéger votre compte même si votre mot de passe a été volé. Nous vous recommandons d'utiliser l'authentification à deux niveaux sur tous vos comptes si possible. La semaine prochaine, vous en saurez plus sur les avantages de l'authentification à deux niveaux.
Ressources supplémentaires sur l'ingénierie sociale :
Si vous avez d'autres questions, posez-les sur nos forums d'aide pour les webmasters. Une communauté de webmasters vous aidera à y répondre.

Eric Kuan, Webmaster Relations Specialist
Yuan Niu, Webspam Analyst

Posted:
Si vous publiez du contenu en ligne, l'une de vos priorités doit être la sécurité. Le piratage informatique peut nuire à votre réputation en ligne et entraîner la perte de données privées et capitales. L'année dernière, nous avons constaté une hausse de 180 % du nombre de sites piratés. Bien que nous mettions tout en œuvre pour faire face à cette vague de piratage, vous pouvez prendre des mesures pour protéger votre contenu sur le Web.

intro.png

Aujourd'hui, nous continuons la diffusion de notre campagne #nohacked. Cette fois-ci, nous allons aborder les méthodes permettant de protéger votre site contre le piratage. Vous pourrez par la suite suivre la campagne #nohacked sur Twitter et Google+.

Pour commencer, voici des astuces de base pour protéger votre site Web.

Renforcez la sécurité de votre compte

La création d'un mot de passe difficile à deviner ou à pirater est essentielle pour protéger votre site. Par exemple, votre mot de passe peut comprendre un mélange de lettres, de chiffres, de symboles, ou il peut même s'agir d'une phrase secrète. La longueur du mot de passe est importante. Plus votre mot de passe est long, plus il sera difficile de le deviner. Il existe de nombreuses ressources sur le Web qui vous permettent de tester le degré de sécurisation de votre mot de passe. Vous pouvez tester un mot de passe similaire au vôtre (ne saisissez jamais votre véritable mot de passe sur d'autres sites) pour avoir une idée de la sécurisation de votre mot de passe.

Il est également important d'éviter de réutiliser vos mots de passe pour d'autres services. Les pirates informatiques essaient souvent des combinaisons de nom d'utilisateur et de mot de passe qu'ils récupèrent grâce à des listes de mots de passe qui ont fuité ou des services piratés afin d'attaquer un maximum de comptes.

Nous vous conseillons également d'activer l'authentification à deux niveaux pour les comptes qui proposent ce service. Ce système peut renforcer la sécurité de votre compte de manière significative et vous protéger contre diverses attaques sur votre compte. Nous vous en dirons plus sur l'authentification à deux niveaux dans quinze jours.

Mettez à jour le logiciel de votre site

L'une des méthodes les plus fréquentes des pirates informatiques pour infecter votre site est de profiter d'un logiciel instable installé sur ce dernier. Pensez à vérifier régulièrement si votre site comporte des logiciels obsolètes, et si des mises à jour sont disponibles pour corriger des lacunes au niveau de la sécurité. Si vous utilisez un serveur Web comme Apache, nginx ou un logiciel serveur Web commercial, assurez-vous de toujours utiliser une version logicielle avec correctif. Si vous utilisez un système de gestion de contenu (CMS), des plug-ins ou des modules complémentaires sur votre site, assurez-vous qu'ils sont à jour. Pensez également à vous inscrire aux listes d'annonces relatives à la sécurité pour votre logiciel serveur Web et votre système de gestion de contenu, le cas échéant. Nous vous conseillons de supprimer tous les modules complémentaires ou les logiciels dont vous n'avez pas besoin sur votre site Web. En plus d'être une source de risques potentiels, ils peuvent également ralentir votre site.

Renseignez-vous sur la gestion des problèmes de sécurité par votre fournisseur d'hébergement

Les règles d'un fournisseur d'hébergement en matière de sécurité et de rétablissement des sites piratés constituent un facteur important à prendre en compte au moment d'en choisir un. Si vous utilisez un fournisseur d'hébergement, contactez-le pour savoir s'il propose une assistance à la demande pour résoudre des problèmes propres à votre site. Vous pouvez également consulter les avis en ligne pour voir si ce fournisseur est réputé pour aider ses utilisateurs à nettoyer leurs sites en cas de piratage.

Si vous contrôlez votre propre serveur ou si vous utilisez des serveurs virtuels, assurez-vous d'être en mesure de gérer tout problème potentiel de sécurité. L'administration de serveur est très complexe. L'une des tâches principales d'un administrateur de serveur est de garantir la mise à jour de son logiciel de gestion de contenu et de son serveur Web, ainsi que la mise en place de correctifs. Si vous n'êtes pas contraint de gérer vous-même l'administration de votre serveur, nous vous conseillons fortement de vous renseigner auprès de votre fournisseur d'hébergement pour connaître ses offres de gestion de services.

Utilisez nos outils pour savoir si nous détectons du contenu piraté sur votre site

Il est important d'utiliser des outils pour vous aider à contrôler activement votre site. En étant informé au plus tôt d'une infection, vous pouvez agir rapidement sur votre site.

Nous vous recommandons de vous inscrire à la Search Console si ce n'est pas déjà fait. Nous utilisons la Search Console pour vous informer des éventuels problèmes sur votre site, y compris lorsque nous détectons du contenu piraté. Vous pouvez également configurer Google Alertes pour être informé de tout résultat suspect sur votre site. Imaginons que vous gériez un site dédié à la vente d'accessoires pour animaux domestiques appelé www.example.com. Vous pouvez définir une alerte pour [site:example.com logiciel pas cher] afin de savoir lorsqu'un contenu piraté concernant un logiciel pas cher s'affiche sur votre site. Configurez plusieurs alertes pour différents termes de spam. Si vous ne savez pas quels termes de spam utiliser, recherchez sur Google les termes de spam fréquents.

Nous espérons que ces astuces vous permettront de protéger votre site Web. Suivez nos campagnes sur les réseaux sociaux, et partagez vos astuces et vos idées pour utiliser le Web en toute sécurité avec le hashtag #nohacked.

Si vous avez d'autres questions, posez-les sur nos forums d'aide pour les webmasters. Une communauté de webmasters vous aidera à y répondre.


spécialiste des relations webmasters
Yuan Niu, analyste du spam

Posted:
La Recherche Google inclut une fonction de saisie semi-automatique (autocomplete) qui est utilisée pour prédire la nature des requêtes en cours de saisie par l'utilisateur. Pendant des années, de nombreux développeurs ont intégré les résultats de la saisie semi-automatique dans leurs propres services à l'aide d'une API non officielle et non publiée, qui ne faisait l'objet d'aucune restriction. Les développeurs entrés en possession de cette API ont donc pu proposer des services de saisie semi-automatique totalement indépendants de la Recherche Google.

L'ingénierie inverse d'un service Google par la communauté des développeurs à l'aide d'une API non publiée aboutit parfois à des résultats formidables. Par exemple, l'API Google Maps a été officiellement prise en charge quelques mois après la découverte des résultats obtenus par des ingénieurs créatifs en combinant les données cartographiques avec d'autres sources de données. Actuellement, plus de 80 APIs peuvent être utilisées par les développeurs pour intégrer des services Google et des données à leurs applications.

Cependant, utiliser une API non compatible et non publiée présente aussi un risque, car celle-ci peut cesser à tout moment d'être disponible. C'est ce qui se produit dans le cas présent.

Nous avons conçu la saisie semi-automatique en tant que complément de la Recherche Google et non pour qu'elle soit utilisée à des fins autres que la saisie prédictive des requêtes. Au fil du temps, il est apparu que, même si les flux de données de saisie semi-automatique peuvent être exploités de façon pertinente dans d'autres contextes, ils sont avant tout optimisés et conçus pour être utilisés avec les résultats des recherches sur le Web. En dehors de ce cadre, ils ne fournissent aucun avantage pertinent aux utilisateurs.

Afin de protéger l'intégrité de la fonction autocomplete dans le cadre de la Recherche Google, nous allons limiter les accès non autorisés à l'API non publiée à compter du 10 août 2015. Nous voulons nous assurer que les internautes utilisent la saisie semi-automatique conformément à son objectif initial, c'est-à-dire en tant que service étroitement lié à la Recherche Google. Nous avons le conviction que c'est ce qui permettra d'offrir la meilleure expérience utilisateur possible pour ces deux services.

Nous offrons une alternative aux éditeurs et aux développeurs qui souhaitent continuer à utiliser le service autocomplete sur leur site. Le moteur de recherche personnalisé Google permet aux sites de conserver la fonctionnalité de saisie semi-automatique en lien avec la Recherche Google. Les partenaires qui utilisent déjà notre Moteur de recherche personnalisé ne sont pas concernés par ce changement. Nous invitons les autres personnes qui souhaitent utiliser la fonctionnalité de saisie semi-automatique après le 10 août 2015 à se reporter à notre page d'inscription au MRP.